세계 통용 서버SW ‘최악 보안구멍’… 국내 기업 등 수만곳 해킹 위험

“컴퓨팅 역사상 가장 큰 취약점”

《인터넷 서버에 널리 쓰이는 소프트웨어에서 치명적인 약점이 밝혀져 글로벌 정보기술(IT) 업계가 바짝 긴장하고 있다. 해커들이 악용할 경우 손쉽게 서버를 탈취해 컴퓨터를 원격조종하는 것도 가능한 것으로 알려졌다. ‘인터넷 역사를 통틀어 최악의 보안 결함’이라는 평가까지 나올 정도다. 국내에서도 국가기관 및 기업 대부분이 이 소프트웨어를 이용하고 있어 신속한 대비가 필요하다는 지적이 나온다.》

“전 세계 인터넷이 불타고 있다(The Internet is on fire right now).” ―미국 사이버보안업체 크라우드스트라이크의 애덤 마이어스 부사장

정보기술(IT) 기업과 정부기관 등 전 세계 대다수 인터넷 서버에서 광범위하게 쓰이는 소프트웨어(SW)에서 치명적인 보안 취약점이 발견돼 경고등이 켜졌다. 비밀번호 없이도 손쉽게 데이터를 빼 가거나 악성 프로그램을 심을 수 있다. 국내에서도 대부분 이 소프트웨어를 쓰고 있어 국가기관 및 기업 수만 곳이 해킹 피해를 볼 수 있다는 우려가 나온다. 정부 당국은 피해를 막기 위해 긴급 보안 업데이트를 권고하는 등 즉각 대응에 나섰다.

12일 AP통신 등에 따르면 아파치 소프트웨어재단이 개발한 자바 기반 인터넷 서버용 소프트웨어인 ‘로그4j(Log4j) 2’에서 치명적인 보안 취약점이 발견됐다. 로그4j는 인터넷 서버의 유지 및 관리를 위해 접속 기록이나 시스템 이벤트, 개발 과정 등 각종 동작을 기록하는 ‘로깅 프로그램’이다.

이 소프트웨어는 무료로 배포되는 ‘오픈 소스’여서 애플, 아마존, 트위터 등 글로벌 IT 기업부터 정부기관, 중소형 IT 회사까지 상당수 기관 기업이 웹이나 애플리케이션(앱)을 개발 및 운영할 때 활용해 왔다. 국내에서도 서버를 운영하는 다수 회사가 이를 사용 중인 것으로 알려져 있다. 한국인터넷진흥원(KISA)에 따르면 이 취약점은 이달 초 중국의 알리바바 클라우드 보안팀에서 처음 발견했고 아파치 재단에서 이달 6일 해킹을 막는 업데이트를 재빠르게 내놓았다.

그런데 10일 인터넷 개발자들이 이용하는 커뮤니티에서 구체적인 해킹 방법이 공개되면서 각국의 보안당국과 글로벌 IT 회사들이 다급하게 움직이기 시작했다. 이동근 KISA 침해사고분석단장은 “로그4j에서 비정상적인 명령을 실제로 작동시키는 구체적인 방법이 해외 커뮤니티 등을 통해 공개됐다”고 했다. 실제로 역대 비디오게임 판매량 1위인 온라인게임 ‘마인크래프트’에서 이를 활용한 해킹 시도가 있었던 것으로 알려졌다. 해당 게임을 운영 중인 마이크로소프트는 즉시 보안 업데이트를 적용했다.

전문가들은 이번에 발견된 취약점을 이용하면 해커들이 목표로 삼은 컴퓨터의 모든 권한을 취득할 수 있다고 우려했다. 비밀번호 없이도 서버를 통해 컴퓨터 내부망에 접근해 데이터를 약탈 또는 삭제하거나 악성 프로그램을 심어 실행시킬 수 있다는 것이다.

아파치 재단도 이 취약점의 보안 위협 수준을 1∼10단계 중 최고 등급인 ‘10단계’라고 평가했다. 보안업체인 ‘텐에이블’의 아미트 요란 최고경영자(CEO)는 “지금 위험에 처하지 않은 회사가 없다. 아마 현대 컴퓨팅 역사상 가장 큰 취약점이 될 것”이라며 “최대한 조치를 서둘러야 한다”고 경고했다.

정부는 아직 국내 피해 사례는 없는 것으로 파악하고 있지만 빠른 보안 업데이트를 당부했다. 국가정보원은 “11일 0시부터 실태 파악과 정보 공유, 보안 패치 안내 등 선제적 조처를 취했다”며 “긴급 점검 결과 현재까지 로그4j 2 관련 국가·공공기관 대상 해킹 피해 사례는 없는 것으로 확인됐다”고 했다.

과학기술정보통신부는 KISA의 ‘보호나라’ 웹사이트(www.boho.or.kr)를 통해 필요한 보안 조처를 안내하고 있다. 국가 기반시설과 웹호스팅 회사 477곳, 정보보호 관리체계 인증기업 758곳, 각 기업 정보보호최고책임자(CISO) 2만3835명 등에게 보안 취약점을 알리고 즉각적인 실행을 권고했다. KISA에 따르면 로그4j가 기업 홈페이지나 서버 관리 목적으로 사용되는 프로그램이어서 당장은 일반 이용자가 대응할 필요가 없지만 향후 개인이 활용하는 소프트웨어에서 해당 문제가 발생할 경우 업데이트가 필요할 수도 있다.

이상진 고려대 정보보호대학원장은 “국내 IT 기업 상당수가 해당 소프트웨어를 쓰고 있는 것으로 알고 있다”며 “웹 서버를 구축한 곳은 대부분 문제가 될 수 있기 때문에 일단 보안 패치를 설치하고 또 다른 문제가 있을지 정밀 조사해야 한다”고 했다.

김성모 기자 mo@donga.com